RECOMMANDATIONS RELATIVES A LA LUTTE CONTRE LA MALVEILLANCE - «FOOD DEFENSE»

Transcription

1 RECOMMANDATIONS RELATIVES A LA LUTTE CONTRE LA MALVEILLANCE - «FOOD DEFENSE» AOÛT PAGES PREAMBULE Les présentes recommandations visent à accompagner les entreprises dans la lutte contre la malveillance (tout acte commis dans une intention de nuire) en proposant des éléments permettant la sécurisation de leur production. Il n existe pas de définition internationale unique de la «Food Defense» ou de «protection de la chaîne alimentaire contre les risques d actions malveillantes, criminelles ou terroristes». Dans le cadre de ce document, l ANIA propose de retenir les principes proposés par le GFSI (Global Food Safety Initiative) : «L organisation [doit avoir] une procédure d évaluation des risques identifiant la lutte contre la malveillance et établir, compléter et maintenir un système en place pour réduire ou éliminer les risques identifiés.». PRINCIPES GENERAUX L industrie alimentaire a comme première priorité la sécurité sanitaire des aliments qu elle produit. Les mesures mises en place pour répondre aux exigences relatives à la lutte contre la malveillance doivent donc prendre en compte les principes de sécurité sanitaire. Les textes européens consolidés depuis de nombreuses années dans le domaine sanitaire constituent ainsi une base essentielle et commune aux entreprises alimentaires (enregistrement, traçabilité, mesures correctives, etc.). Il faut également rappeler que, comme de nombreux secteurs industriels, l industrie agro-alimentaire est soumise à différentes exigences réglementaires, telles que celles issues du code du travail, celles liées à la sécurité des personnes sur le site ou encore à des exigences environnementales. Ainsi, les mesures mises en œuvre dans le cadre de lutte contre la malveillance doivent donc être établies au regard de ces exigences réglementaires. Ces mesures peuvent faire l objet d une démarche spécifique (système de management de la sûreté) ou s appuyer sur le système existant de management de la qualité. Extraits du Guide des recommandations pour la protection de la chaîne alimentaire contre les risques d actions malveillantes, criminelles ou terroristes Document interministériel de janvier 2014 : «Les mesures de sûreté proposées pour réduire le risque de contamination intentionnelle des aliments s inscrivent en complément des dispositifs de sécurité sanitaire déjà existants pour prévenir le risque de contamination accidentelle (règlement hygiène des denrées alimentaires).» «Les mesures de sûreté, comme les mesures de sécurité sanitaire visent à prévenir le danger de contamination des aliments, mais aussi à faciliter une réponse rapide en cas d occurrence. En cas de contamination délibérée, l existence de procédures préétablies de recueil d informations évènementielles aidera à retracer les faits antérieurs anormaux. Ceci, couplé à une bonne traçabilité 1 / 5

2 des aliments facilitera l appréciation du risque résiduel (nature du danger lots d aliments concernés, état de leur distribution et consommation population concernée). L action rapide et ciblée qui en découlera(en suivant les préconisations du Guide d aide à la gestion des alertes d origine alimentaire paru en 2005 et référencé page 19) permettra de réduire considérablement l impact de l attaque.» PRINCIPALES RECOMMANDATIONS Analyse des risques Afin de réaliser l analyse des risques ayant pour cause les actes de malveillance, il est important de considérer les éléments suivants : - Le guide des recommandations de l administration française liste dans son annexe A les cas de contamination criminelle de produits alimentaires, mettant en évidence un très faible nombre de cas recensés de contamination criminelle liés aux denrées alimentaires ; - La veille sécuritaire effectuée par les services du Haut Fonctionnaire de Défense et de Sécurité (HFDS) de chacun des ministères ; - Les alertes du réseau RASFF ; - Les éléments issus de procédures préexistantes de recueil d informations évènementielles. Afin de réaliser une analyse des risques liés à des actions de malveillance, il est recommandé de réaliser une identification des différents types de menaces possibles : - Vandalisme : le vandalisme est une atteinte "gratuite" aux biens privés ou publics, dont la gravité de la sanction dépend beaucoup des circonstances. - Agression : une agression est une attaque qui peut-être physique ou verbale, active ou passive, directe ou indirecte. - Vol : selon l article L du code pénal, le vol est la soustraction frauduleuse de la chose d autrui L étude des dangers de la malveillance/terrorisme peut, par exemple, être rédigée selon les principes VACCP ou Carver-Schock. Afin de permettre une sécurisation du site, il est possible de prendre en compte les dangers liés aux actes de malveillance dans le cadre de l analyse des dangers ou risques en place : la prise en compte de ces dangers ne nécessite donc pas nécessairement la mise en place d une analyse à part. Lors de l analyse, il faudra prendre en considération les différentes catégories de menaces susceptibles d être notamment introduits par des actes de malveillance identifiés au préalable. Cette analyse doit permettre d avoir une approche globale du site et prendre en considération le type et la sensibilité des produits fabriqués dans l usine, la taille du site, l environnement de l entreprise, etc. 2 / 5

3 Enfin, il faut noter qu en cas de transport, de stockage ou d utilisation de matières et produits dangereux dans un site, des procédures spécifiques de sûreté doivent être désormais mises en place dans le cadre de la réglementation internationale de lutte contre le terrorisme. Ressources / Management En l absence de la nomination d un responsable sûreté et compte-tenu de la sensibilité de ce sujet, il est préconisé de restreindre le nombre de personnes impliquées dans l élaboration de la politique de lutte contre les actes de malveillance à un niveau de Direction. Cela doit permettre de limiter le nombre de personnes tout en assurant une transversalité suffisante. Ex : Directeur d usine, Responsables Qualité, Production, RH, Sécurité, etc. Cette équipe peut être restreinte à une personne clef clairement identifiée dans l entreprise et une personne suppléante. La partie «Food Defense» peut être intégrée dans le système de management de la qualité du site. Le résultat de l analyse des risques doit rester confiné et rester confidentiel, par contre le système de prévention des risques doit être connu de tous. Sensibilisation - Formation Dans cette partie, deux populations doivent être considérées de façon différente au sein de l entreprise : Ensemble du personnel : La notion de Sureté - Food Defense fera l objet d une sensibilisation de l ensemble du personnel adaptée selon la nature des postes, l analyse des risques, les plans d actions définis par la Direction, par exemple, lors de réunions de formation sur la sécurité des aliments, de réunions du personnel, par la remise individuelle de fascicule de rappel, lors de la remise du livret d accueil d un nouveau salarié, etc De plus, chaque responsable d établissement peut s appuyer sur les représentants territoriaux de l Etat pour prendre des conseils sur les choix possibles de prévention et de protection adaptés au contexte local. Exemple de mesure de protection facile à déployer : préconiser aux employés de signaler à leur(s) responsable(s) un comportement hors-norme au sein de l usine ainsi que la présence d intrus. Equipe «Food defense» : En ce qui concerne l équipe «Food Defense», différents documents peuvent être utilisés pour développer les éléments de connaissance nécessaires à la gestion du food defense, comme par exemple : le guide de recommandations de l administration de janvier 2014, les référentiels de certification, les méthodologies proposées de gestion du food defense, etc (ex : FDA : Food producers, processors and transporters, food safety preventive Measures Guidance). En tant que de besoin, une formation dédiée peut être également envisagée. 3 / 5

4 Sécurisation du site Comme l ensemble des mesures liées à la lutte contre la malveillance, les mesures visant à la sécurisation du site découlent de l analyse des menaces et de l évaluation des risques et sont donc adaptées à chaque entreprise (il n existe pas de schéma unique). Afin d assurer une sécurisation du site, la cartographie de l ensemble du site avec les différents accès, analyse des flux de circulation, etc. est nécessaire. Cela montre que le site doit être considéré dans sa globalité, notamment pour garantir la sécurité des denrées alimentaires. Il paraît plus adapté d aborder la question de la sécurisation du site par les origines du danger plutôt que par la définition de zones à risques : la maîtrise des flux répond donc grandement à la maîtrise du risque de malveillance (sur ce point, voir tout particulièrement les éléments figurant dans le guide interministériel). Si l analyse par zones de différents niveaux de risque de malveillance ne semble pas la plus appropriée, cela n enlève pas la nécessité de décrire des zones sensibles liées à la sécurité des denrées alimentaires. Pour répondre aux exigences de maîtrise des flux, il faut noter que des mesures de maîtrise existent déjà dans les entreprises alimentaires, répondant à la fois à des objectifs de sureté et de sécurité sanitaire : - Prévention de l accès à des personnes non autorisées (et donc potentiellement malveillantes) sur le site et dans les bâtiments ; - Gestion des visites et prestations sur le site : niveaux de consignes de sécurité et d hygiène adaptés pour les visiteurs, les prestataires, etc. ; - Gestion des fournisseurs et prestataires en obtenant l engagement que ces derniers ont pris en compte des mesures de sureté adéquates y compris lorsqu ils opèrent hors du périmètre de leurs établissements. Ils s engagent à respecter les consignes définies avec leur client. - Gestion et protection de l information intégrant le niveau de confidentialité des documents qu ils soient physiques ou numériques, et notamment portés par les systèmes d information. Vérification / Surveillance Les éléments relatifs à la maîtrise et à la surveillance sont intégrés dans le système de management de la qualité et son pilotage, ou dans le système de management de la sureté le cas échéant. Afin d éviter que les éléments stratégiques mis en place ne soient dévoilés et détournés, il est déconseillé de les mettre en évidence dans la documentation, cela étant incompatible avec l objectif de confinement de l équipe «Food Defense». CONCLUSIONS Les enjeux des industries alimentaires dans la lutte contre la malveillance sont de : - Maintenir la confiance dans la chaîne alimentaire face aux risques de malveillance ; - Maintenir les mesures de maîtrise appropriées au métier ; - Maintenir les priorités de travail sur le cœur de métier. 4 / 5

5 OUVRAGES DE RÉFÉRENCE - Guide des recommandations pour la protection de la chaîne alimentaire contre les risques d actions malveillantes, criminelles ou terroristes Document interministériel de janvier Global Food Safety Initiative Guidance document version Site internet de la Food and Drug Administration (FDA) : - Site internet de l United States Department of Agriculture (USDA) Nota bene : Le présent document ne traite pas de la malveillance relative aux systèmes informatiques. Sur ce sujet, il peut être utile de se référer aux guides et recommandations établies par l ANSSI (Agence Nationale de la Sécurité des Systèmes d Information) accessibles au lien internet ci-dessous et notamment le guide intitulé «L hygiène informatique en entreprise» : Autres liens utiles : - Guide méthodologique Food Defense, protection de la chaîne alimentaire contre les risques d actions malveillantes, criminelles ou terroristes / 5